Cybercriminals Indonesia Mengeksploitasi AWS untuk Operasi Penambangan Crypto
Seorang aktor ancaman yang bermotif finansial asal Indonesia telah terdeteksi memanfaatkan layanan Amazon Web Services (AWS) Elastic Compute Cloud (EC2) untuk melakukan operasi penambangan crypto ilegal.
Perusahaan keamanan cloud, Permiso P0 Labs, yang pertama kali mendeteksi kelompok ini pada November 2021, memberikan nama julukan GUI-vil (dibaca Goo-ee-vil).
“The group displays a preference for Graphical User Interface (GUI) tools, specifically S3 Browser (version 9.5.5) for their initial operations,” the company said in a report shared with The Hacker News. “Upon gaining AWS Console access, they conduct their operations directly through the web browser.”
(Kelompok ini menunjukkan preferensi terhadap alat antarmuka pengguna grafis (GUI), khususnya S3 Browser (versi 9.5.5) untuk operasi awal mereka. Setelah mendapatkan akses ke AWS Console, mereka melakukan operasi langsung melalui peramban web.)
Rantai serangan yang dilakukan oleh GUI-vil melibatkan mendapatkan akses awal dengan memanfaatkan kunci AWS yang ditemukan di repositori kode sumber yang diekspos secara publik di GitHub atau dengan memindai instance GitLab yang rentan terhadap kerentanan eksekusi kode jarak jauh (contoh: CVE-2021-22205).
Setelah berhasil mendapatkan akses awal, pelaku eskalasi hak istimewa dan melakukan pengintaian internal untuk meninjau semua bucket S3 yang tersedia serta menentukan layanan yang dapat diakses melalui konsol web AWS.
Salah satu aspek yang mencolok dari modus operandi aktor ancaman ini adalah upaya mereka untuk berbaur dan bertahan dalam lingkungan korban dengan menciptakan pengguna baru yang mengikuti konvensi penamaan yang sama dan akhirnya mencapai tujuan mereka.
“GUI-vil will also create access keys for the new identities they are creating so they can continue usage of S3 Browser with these new users,” P0 Labs researchers Ian Ahl and Daniel Bohannon explained.
(GUI-vil juga akan membuat kunci akses untuk identitas baru yang mereka buat sehingga mereka dapat terus menggunakan S3 Browser dengan pengguna baru ini,” jelas peneliti P0 Labs, Ian Ahl dan Daniel Bohannon.)
Sebagai alternatif, kelompok ini juga terdeteksi membuat profil login untuk pengguna yang sudah ada namun belum memiliki profil login, sehingga mereka dapat mengakses konsol AWS tanpa menimbulkan kecurigaan.
Kaitan GUI-vil dengan Indonesia berasal dari fakta bahwa alamat IP sumber yang terkait dengan aktivitas tersebut terhubung dengan dua Nomor Sistem Otonom (ASN) yang berada di negara Asia Tenggara itu.
“The group’s primary mission, financially driven, is to create EC2 instances to facilitate their crypto mining activities,” the researchers said. “In many cases the profits they make from crypto mining are just a sliver of the expense the victim organizations have to pay for running the EC2 instances.”
(Misi utama kelompok ini, yang didorong oleh motif finansial, adalah menciptakan instance EC2 untuk memfasilitasi aktivitas penambangan crypto mereka,” kata para peneliti. “Dalam banyak kasus, keuntungan yang mereka peroleh dari penambangan crypto hanyalah sebagian kecil dari biaya yang harus dibayar organisasi korban untuk menjalankan instance EC2 tersebut.)
Referensi:
